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© Systeme de telechargement securise d'un terminal et precede mis en oeuvre. 



© La presente invention concerne un systeme 
comprenant un terminal relie par une ligne de tran- 
smission a une unite centrale, le terminal comportant 
une m'emoire divisee en une memoire programme et 
une memoire de travail du type RAM, la memoire 
programme comportant elle-meme une memoire vo- 
latile, une memoire sauvegardee du type EEPROM 
ou RAM a piles et une memoire residente du type 
^ROM ou PROM, caracterise en ce que chacune des 
memoires constituant ta memoire programme soit 
^partagee en une zone non certifiee, le terminal com- 
J^portant un programme interpreteur entre un pro- 
gramme ecrit dans un langage compact evolue et 



CO 



universe! et le langage propre au microprocesseur 



^du terminal, ce programme interpreteur pouvant ac- 
ceder a chacune des partitions de memoire et un 
® programme de controle du telechargement compor- 
Ittant au moins une instruction CHSB dont le mot de 
commande est stocke dans un des registres et ex- 
prime les possibilites de telechargement des diffe- 
rentes zones. 
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SYSTEME DE TELECHARGEMENT SECURISE D'UN TERMINAL ET PROCEDE MIS EN OEUVRE. 



La presents invention concerne un systeme de 
teiechargement securise d'un terminal et le prece- 
de mis en oeuvre par un te! systeme. 

11 est connu de pouvoir teiecharger des nnachi- 
nes de traitement de donnees, mais le probleme s 
qui se pose est de proteger ces machines centre 
des telechargements tntempestifs voire frauduleux. 
Ainsi si une machine comports des memoires par- 
tagees en zones de programmes certifiees "CPZ" 
et en zones de programmes non certifiees "NPZ", to 
ii est necessaire de prevoir des moyens permettant 
de s'assurer que ies programmes telecharges dans 
la zone certifies, !*ont ete, selon une procedure qui 
garantit qu'ils n'ont pas ete fraudes. Par ailleurs, le 
probleme est egalement de proposer un systeme is 
souple et hybrids qui permette a la fois. selon Ies 
desirs et Ies applications, d'etre tres protege ou 
ouvert selon des degres plus ou moins grands. 

Ce but est atteint par le fait que ie systeme 
comprenant une unite centraie relies par une ligne so 
de transmission a un terminal comportant une me- 
moirs divisee en une memoire programme et uns 
memoire de travail, la memoire programme com- 
prenant elle-mems uns memoirs volatile, une me- 
moire sauvegardee du type EEPROM ou RAM 25 
avec pile et une memoire residents du type ROM 
ou PROM est caracterise en ce qus chacune dss 
memoires constituant la memoire programme sont 
partagees au moins en uns zone non csrtifiee et 
uns zone csrtifiee, le terminal comportant un pro- 30 
gramme intsrpreteur entre un programme ecrit 
dans un langage compact universel et le iangage 
propre au microprocssseur du terminal et un pro- 
gramme de gestion de consigns charge d'executer 
une consigns autorisee par un mot de commands, 35 
ce programme interprstsur et ds gestion ds consi- 
gns ayant un niveau de priorite psrmettant d'acce- 
dsr a chacuns dss parties de la memoire et un 
programme ds controls du teiechargement com- 
portant au moins une instruction (CHSB) dont le 40 
mot de commande est stocke dans un des rsgis- 
trss ds la zone de travail et exprime Ies possibilites 
de teiechargement des differentes zones. 

Selon uns autre caracteristiqus, Is mot ds 
commands comports un prsmier champ destine a 45 
commander un teiechargement et une lecture dans 
ia zone non certifies, un deuxieme champ destine 
a commander un teiechargement et uns lecture 
dans la zone certifiee, un troisieme champ destine 
a autoriser le lancement d'un programme en zone so 
programme non certifiee "NPZ", un quatrieme 
champ destine a autoriser le lancsment d'un pro- 
gramme en zone programme csrtifiee "CPZ". un 
cinquieme champ destine a commander un teie- 
chargement et une lecture des registres de la 



memoire de travail, un sixieme champ permettant 
d'autoriser I'ouverture d'une session. 

Selon une autre caracteristique, le programme 
de telechargemsnt comporte sn outrs au moins 
uns instruction de transfsrt de bloc-memoire de la 
zone non certifiee vers la zone certifiee dont I'exe- 
cution n'est rendue possible par t'interpreteur que 
dans le cas ou cette instruction est elle-meme 
stockee dans une zone certifiee, Ce programme de 
teiechargement ne peut etre accede que par une 
adresse determinee commengant par une instruc- 
tion specifique. 

Selon une autre caracteristique, le programme 
de teiechargement comporte une instruction de 
transfert de blocs de registrs vers la zone certifiee 
executable uniquement dans le cas ou cel!e-ci est 
stockee dans ia zone certifies. 

Selon une autre caracteristique, la memoire 
programme comporte en outre une zone boite a 
lettres. 

Selon une autre caracteristique. Ies zones boT- 
tes a lettres ne sont accessibles que sur pressnta- 
tion d'uns cle. 

D'autres caracteristiques st avantages de la 
presente invention apparaitront plus clairement a la 
lecture de la description ci-apres faite en reference 
aux dessins annexes dans lesquels : 

• ia figure 1 represente une vue schematique 
d'un systeme selon Tinvention ; 

- la figure 2 represente le schema d'organi- 
sation des memoires d'un terminal ; 

- la figure 3 represente le contenu du mot 
des deux registres exprimant Iss possibilites offsr- 
tes au terminal ; 

- la figure 4 resume la partition des memoi- 
res du terminal ; 

- la figure 5 rspresente une procedure de 
teiechargement selon I'lnvention ; 

- la figure 6 represente les transferts d'infor- 
mation realisables entre les entites de rinvsntion. 

La figurs 1 represente un ordrnatsur principal 
ou hote (1). reiie par une ligne de transmission ds 
donness (2) a un terminal ou Iscteur (3) eioigne de 
cet ordinateur principal (1). Cs terminal (3) compor- 
te un ensemble de memoires (30, 31, 32) organi- 
sees de la maniere suivante. Une premiers memoi- 
rs (31) est constitues par une memoire volatile 
type RAM, une deuxreme memoire (32) est consti- 
tues par une memoire sauvegardes typs RAM sau- 
vegardee par une pile ou memoire EEPROM, et 
une troisieme memoire (30) et constituee par une 
memoire residents du type PROM ou ROM. Le 
terminal comports en outre un iscteur (33) d'objets 
portables (34) constitues par un circuit microcal- 
culateur, comprenant un microprocssseur et une 
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memoire programmable, connectable a Texterieur 
par des contacts. Pour plus de details sur la consti- 
tution d'un tel objet portable, on pourra se referer a 
la demands de brevet FR 2 401 459 correspondan- 
te au brevet US 4 21 1 919 et pour les details sur le 
microcalculateur associe avec une memoire pro- 
grammable, on se referera a la demande de brevet 
FR 2 461 301 correspondante au brevet US 4 382 
279. 

L'ensemble de ces memoires est utilise com- 
me memoire de programme executable et interpre- 
table et comme zone de travail constituee de regis- 
tres d'usages generaux. La zone de travail est 
essentiellement constituee par une partie (314) de 
la memoire RAM (31). La memoire programme 
(fig.2) contient vingt pages de memoire de seize 
K. octets chacune de la memoire volatile (31). La 
memoire sauvegardee constituee de trente six pa- 
ges de seize Koctets de la memoire (32) et la 
memoire residente est constituee de huit pages de 
seize Koctets de la memoire (30). Chaque zone 
memoire volatile, zone memoire sauvegardee et 
zone memoire residente est subdivisee en deux ou 
trois sous-zones appelees zones programme certi- 
fiees "CPZ", zone programme non certifiee "NPZ" 
et boTte a lettres "BL". 

Les subdivisions des memoires definissent des 
niveaux de securite pour !es programmes contenus 
par ces memoires. Ainsi les programmes implantes 
dans une zone "CPZ" seront dits de niveau de 
securite certifie tandis que les programmes implan- 
tes dans une zone "NPZ" sont des programmes 
de niveau de securite non certifie. Les boHes a 
lettres sont des zones d'acces controlees par une 
cie. EHes contiennent essentiellement des donnees. 
Un programme interpreteur et gestionnaire de 
consignes (GdC) residant dans une memoire du 
type ROM ou PROM (35) assure I'interpretation 
entre les programmes ecrits dans un langage com- 
pact evolue et independant du materiel utilise et le 
langage propre au microprocesseur installs dans le 
terminal. Le gestionnaire de consignes est quant a 
iui charge d'executer une consigne autorlsee par 
un des octets de commande ECW1, ECW2 decrit 
ci-apres. A ce programme interpreteur et gestion- 
naire de consignes sont donnes les droits d*acces 
les plus larges superieurs a ceux des zones "NPZ" 
ou "CPZ". Les programmes implantes dans les 
zones "CPZ" de la memoire permettent des 
lectures/ecrltures dans toutes les zones "NPZ", ou 
"CPZ". aussi bien de la memoire volatile (31). que 
de la memoire sauvegardee (32) ou de la memoire 
residente (30) et seulement des lectures et ecritu- 
res sous controle du programme interpreteur et 
d'un programme d'application dans les zones boT- 
tes a lettres. avec des regies d'ecriture et de 
lecture definies par le programme d'application, au 
moment de la creation de la boUe a lettres. Les 
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programmes implantes dans les zones "NPZ" 
(311, 321. 301) sont aftectes du niveau de securite 
non certifie et ont seulement le droit de faire des 
lecturesecritures dans la zone "NPZ" (311. 321) 

5 des memoires volatiles sauvegardees et residen- 
tes. et ne peuvent faire que des lectures et ecritu- 
res sous controle de Tinterpreteur (300) dans les 
zones boTtes a lettres (313, 323) des memoires 
volatile (31) ou sauvegardee (32). 

JO La figure 4 resume la partition des memoires 

du terminal et les differents droits d*acces a ces 
memoires. 

Le fonctionnement du systeme va etre explicite 
ci-apres. 

75 Initialement, un terminal equipe d'un lecteur 

contient dans la zone memoire sauvegardee au 
moins une instruction CHSB dont les octets de 
commandes associes a cette instruction permettent 
I'acceptation ou non de certaines consignes en- 

20 voyees par I'ordinateur bote de teleciiargement. 
Cette instruction CHSB comporte deux octets de 
commande "ECW1". "ECW2" dont les bits repre- 
sentes a la figure 3 sont charges dans des regis- 
tres de la memoire de travail (314) aux adresses 

25 FFEB et FFEC de cette d^rniere pour indiquer au 
gestionnaire de consignes les consignes qui peu- 
vent etre acceptees ou non. Lors de I'execution et 
du decodage d'une consigne de telechargement, 
de lancement de programme, de lecture, ou d'ou- 

30 verture d*une session, le gestionnaire de consignes 
va lire les octets de commande. Ainsi, en partant 
des poids faibles vers les poids forts, le premier bit 
du premier oct^t ECW1 autorise le telechargement 
et la lecture de la zone NPZ ; 

35 le deuxieme bit autorise le telechargement et la 
lecture de la zone "CPZ" ; 

le troisieme bit autorise le lancement externe a 
partir de rhote (1) d'un programme en "NPZ" ; 
le quatrieme bit autorise le lancement externe a 

40 partir de I'hote (1) d'un programme en "CPZ" ; 

le cinquieme bit significatif constitue par le premier 
bit du deuxieme mot de commande ECW2 autorise 
le telechargement et la lecture d'une banque de 
registre constituee par une partie de la memoire de 

45 travail (314) ; 

le sixieme bit constitue par le deuxieme bit du 
deuxieme octet ECW2 autorise I'ouverture d'une 
session. 

Lorsque les bits de ces deux mots sont a zero, 
50 les consignes de telechargement, de lancement de 
programme ou d'ouverture de session correspon- 
dantes ne sont pas prises en compte par le ges- 
tionnaire de consignes du terminal, et lorsque ces 
bits sont a un, les consignes sont prises en comp- 
55 te. 

Lorsque te terminal est livre, les mots ECW1, 
ECW2 ont leurs bits- positionnes, par defaut, de 
fagon a permettre toutes ies possibilites d'accepta- 

3 
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tion des differentes consignes. Ceci autorise done 
I'ordinateur hote a tefecharger directement en zone 
"CPZ" un programme 'TELE SEC" (3220) qui 
permettra par !a suite de faire du telechargement 
securitaire. Ce telechargement pouvant etre prece- 
de ou non d'une certification ou authentification. 

Una autre solution peut egaiement consister a 
livrer des terminaux deja equipes dans une zone 
"CPZ" (322) de la memoire sauvegardee d*un pro- 
gramme de telechargement secuntaire. Ce pro- 
gramme modifle si necessaire les registres 
ECW1 ECW2 et execute un ensemble d'instruc- 
tions qui permettent de mettre en oeuvre deux 
scenarios possibles. Selon un premier scenano, le 
programme telecharge par I'ordinateur hote pourra. 
par une instruction de branchement "GOTO" ou 
"CALL" suivie de I'adresse (ADCPZl) de debut du 
programme de telechargement securitaire "TELE 
SEC", appeler ce programme impiante dans la 
zone "CPZ". ce programme debutant imperative- 
ment par une instruction ENTRY. Ce programme 
"TELE SEC" represente a la figure 5 contient entre 
autre une instruction TPP RSC1 , RSC2 et se termi- 
ne par une instruction "RET" rendant la main au 
programme situe en "NPZ". 

LMnstruction "ENTRY" est un point d'entree 
obligatoire d'une routine de niveau certifie pour tout 
programme situe en NPZ. Cela permet d'eviter que 
I'hote ou un programme en "NPZ" puisse acceder 
en n'importe quel point d'un programme situe en 
"CPZ". Ainsi, comme represente en fig. 5, dans le 
cas ou le programme en "NPZ" comporte une 
instruction "CALL AD CPZ2" demandant un bran- 
chement a I'adresse CPZ2 d'une zone "CPZ" et 
que rinstruction a cette adresse est autre qu'une 
instruction "ENTRY", I'interpreteur detectera un ac- 
ces interdit. 

L'instruction TPP permet de recopier un bloc- 
memoire programme SC1 dans un bloc de memoi- 
re programme SC2, Toutefois avant t'execution de 
cette instruction Tinterpreteur verifiera par compa- 
raison de I'adresse a laquelie se trouve cette ins- 
truction TPP et de Tadresse du bloc-memoire SC2 
que cette instruction est executable. En effet, dans 
le cas oCi rinstruction TPP se trouve dans la zone 
memoire "NPZ" et demande la recopie d'un bloc 
de memoire programme situe dans une zone 
"NPZ" vers un bloc memoire programme situe 
dans une zone '*CPZ", I'interpreteur n'autorise pas 
I'execution ae czv.o nstruction. Dans ce cas I'inter- 
preteur va s ^.^•'e^s ' ou se de router sur un sous- 
programme de trairement d'erreurs pour signaler a 
I'utilisateur qu'il n'a pas voufu executer cette ins- 
truction. 

En fait. I'interpreteur fait le controle systemati- 
que de n'importe quelle instruction, d'ou qu'elle 
vienne, manipulant une adresse pour verifier si 
Tendroit ou on demande d'acceder est autorise a 



partir de I'endroit d'ou cette instruction vient On 
verifie par ce moyen que les niveaux du program- 
me correspondant a I'endroit d'ou vient l'instruction 
est bien en accord avec les autorisations d'acces 

5 correspondantes a ce niveau donnees par la figure 
4. Ainst, le mot ECW1 doit avoir le bit 0 et le bit 2 
au niveau "1 " et le mot ECW2 doit avoir le bit 1 au 
niveau "1" pour permettre I'ouverture d'une ses- 
sion de telechargement par exemple. Seule la pos- 

70 sibiiite de telecharger et lire en zone "NPZ" et de 
lancer un programme en zone "NPZ" est conser- 
vee. Par la suite tout programme telecharge par 
I'hote en zone "NPZ" comprendra une instruction 
d'appel du programme "TELE SEC" range dans 

15 une zone "CPZ" et permettant de faire !e transfert 
d'un bloc-memoire d'une zone "NPZ" vers un 
bloc-memoire d'une zone "CPZ". 

Un autre scenario peut consister a telecharger 
un programme "X" en "NPZ". puis a faire authenti- 

20 fier ce programme par un programme d'authentifi- 
cation et de certification en "CPZ". Le lancement 
du programme "X" peut se faire par une instruction 
"RUN" de lancement provenant de Thote si ECW 
I'autorise. ' 

25 Le programme "X" s'il est lance en etant dans 

une zone "NPZ". a peu de droits. Une autre possi- 
biiite consiste a faire implanter en zone "CPZ" ie 
programme "X" comme on I'a vu precedemment 
et, dans ce cas, il aura tous ies droits d'un pro- 

30 gramme en zone "CPZ". 

Une procedure d*authentification peut etre. par 
exemple. une procec^re similaire a celle decrite 
dans la demande de brevet frangais n' 86 08 654 
du 16 Juin 1986 et deposee au nom de BULL CP8. 

55 De merne, une procedure de certification de I'au- 
thenticite de donnees peut etre, par exemple, une 
procedure similaire a celle decrite dans la deman- 
de de brevet frangais N* 86 10 206 deposee le 11 
Juillet 1986 au nom de BULL CPS. Par la modifica- 

40 tion des mots de commande ECW1/ECW2, on a vu 
qu'on peut modifier les conditions de telecharge- 
ment d'une zone "NPZ" vers une zone "CPZ" et le 
gestionnaire,de consigne est en mesure de deter- 
miner ces conditions en allant lire tes mots de 

45 commande ECW1/ECW2 qui se trcuvent stockes 
dans les registres de la zone de travail. 

Nptons que ECW1 , ECW2 determinent un cer- 
tain nombre de niveaux : 

- l*ouverture de session peut etre ?.utorisee ou non 
so : 

si "non" la machine est totalemeni fermee. 

- I'ouverture de session est autorisee : 

alors on peut charger soit en "CPZ" ou "NPZ" 
suivant ECW. Mais on peut tres bien interdire le 
55 lancement externe pour se laisser la possibilite de 
I'authentification en interne, par une instruction 
CALL ou GOTO permettant de se derouter sur le 
programme d'authentification. Le lancement "RUN" 
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pour §tre autorise. s'il ne I'etait deja. est autorise 
en modiriant ECW. 

Les possibilites et la souplesse du systeme de 
I'invention sent liiustrees par la figure 6. 

Le schema reprssente a la figure 6 presente 
les transferts d'information realisables entre les en- 
tiles suivantes de ('invention : 

- zone NPZ de la mennoire programme. 

- zone CPZ de la memoire programme. 

• ressources qui peuvent etre un clavier, afficfieur. 
etc. 

- memoire des donnees constituee par une partie 
de !a RAM (31). 

- hcte. 

Les fleches de ta figure indiquent le sens du 
flux d'information et le texte associe a la fleche 
definit : 

- L'instruction permettant Taction de transfert. 

Les instructions sont : 
r OUT ou IN. instructions d'entree-sortie. 

- TPP. transfert de memoire programme a memoi- 
re programme. 

- TPR ou GPTR. transfert de memoire programme 
a memoire de donnees. 

- TRP ou PPTR. transfert de memoire de donnees 
a memoire programme, 

- Le type de memoire ou doit etre localisee Tins- 
truction. Le type est specifie par une ou deux 
lettres accolees au mnemonique. 

La minuscule "c" precise que l'instruction est 
en CPZ seulement. Les minuscules "n, c" preci- 
sent que instruction est en CPZ ou NPZ. Par 
exemple. ta boucle notee 60 signifie que t'on peut 
transferer des informations de CPZ en CPZ uni- 
quement grace a l'instruction TPP implantee en 
CPZ. 

Les echanges representes par la reference 61 
specifient que Ton peut transferer des informations 
entre les ressources du systeme et la zone CPZ 
uniquement grace a une instruction d'entree-sortie 
implantee en zone CPZ. 

Les echanges representes par ia reference 62 
specifient que Ton peut transferer des informations 
entre une zone NPZ et une autre entite du systeme 
uniquement grace a une instruction implantee en 
CPZ ou en NPZ. 

En ce qui concerne le gestionnaire de consi- 
gnes, celui-ci executera les consignes de 
telechargement/lecture en fonction de la valeur 
ECW1/ECW2. positionnee grace a l'instruction 
CHSB implantee en CPZ uniquement. 

Revendications 

1. Systeme ccmprenant un terminal relie par 
une ligne de transmission a une unite centrale, le 
terminal comportant une memoire divisee en une 
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memoire programme et une memoire vive de tra- 
vail (314). la memoire programme comportant elle- 
m§me une memoire volatile (31). u'ne memoire 
sauvegardee non volatile (32) et une memoire resi- 

5 dente (30), caracterise en ce que chacune des 
memoires constituant la memoire programme est 
partagee au moms en une zone non certifiee 
"NPZ" (311, 321. 301) et une zone certifiee "CPZ" 
(312. 302. 322). le terminal comportant un pro- 

jo gramme interpreteur (300) entre un programme 
ecrit dans un langage compact evolue et universel 
et le iangage propre au microprocesseur du termi- 
nal, ce programme interpreteur et de gestion de 
consignes pouvant acceder a chacune des parties 

;5 de la memoire et un programme de controie du 
telechargement "TELESEC" comportant au moins 
une instruction "CHSB" dont le mot de commande 
"ECW est stocke dans un des registres de la 
zone de travail (314) et expnme les possibilites de 

20 telechargement des diflerentes zones. 

2. Systeme selon la revendication 1 . caracteri- 
se en ce que la memoire programme comporte en 
plus des zones de boile a lettres (313, 323). 

3. Systeme selon la revendication 1, caracteri- 
25 se en ce que te mot de commande "ECW" com- 
porte un premier champ destine a commander un 
telechargement et une lecture dans une zone non 
certifiee "NPZ" ; 

un deuxieme champ destine a commander un tele- 
30 chargement et une lecture dans une zone certifiee 
"CPZ" ; 

un troisieme champ destine a autoriser le lance- 
ment d'un programme dans une zone non certifiee 
"NPZ" : 

35 un quatrieme champ destine a autoriser le lance- 
ment d'un programme dans une zone certifiee 
"CPZ" ; 

un cinquieme champ destine a commander un 
telechargement et une lecture des registres de la 
40 memoire de travail (314) ; 

un sixieme champ permettant d'autoriser Touvertu- 
re d'une session. 

4. Systeme selon la revendication 1, caracteri- 
se en ce que le programme de telechargement 

45 comporte une instruction, de transfert de bloc me- 
moire d*une zone non certifiee "NPZ" vers une 
zone certifiee "CPZ" et que I'execution de cette 
instruction n'est rendue possible par i'interpreteur 
(300) que dans le cas ou cette instruction est elle- 

50 meme stockee dans une zone certifiee "CPZ". 

5. Systeme selon la revendication 4, caracteri- 
se en ce que le programme de telechargement de 
ne peut etre accede qu'a une adresse de routine 
commengant par une instruction specifique 

55 (ENTRY). 

6. Systeme selon la revendication 1, caracteri- 
se en ce que les zones boTte a lettres ne sont 
accessibles que sur presentation d'une cle. 
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